在攻陷你的第一台机器之后

当你通过社会工程、drop box、Responder、攻击打印机或通过其他攻击获得对主机的访问权限后，下一步要做什么？这是一个非常重要的问题。

在过去，你需要做的一切，是了解你身在何处和周边的网络环境。我们可能首先运行类似于“netstat -ano”的命令来查找受害者的服务器、域和用户的 IP 范围的位置。我们还可以运行命令，如 ps 或 sc queryex type= service state= all | find “_NAME” 列出所有正在运行的服务，并寻找杀毒软件或其他主机基础保护。下面是一些我们最初可能运行的其他示例命令：

网络信息:

• netstat -anop | findstr LISTEN
• net group “Domain Admins” /domain

流程列表:

• tasklist /v

系统主机信息:

• sysinfo
• Get-WmiObject -class win32 operatingsystem | select -property * | exportcsv c:\temp\os.txt
• wmic qfe get Caption，Description，HotFixID，InstalledOn

简单的文件搜索:

• dir /s password
• findstr /s /n /i /p foo *
• findstr /si pass .txt | .xml | *.ini

来自共享/挂载驱动器的信息:

• powershell -Command “get-WmiObject -class Win32_Share”
• powershell -Command “get-PSDrive”
• powershell -Command “Get-WmiObject -Class Win32_MappedLogicalDisk | select Name， ProviderName”

让我们现实一点，没有人有时间记住所有的命令，但是我们很幸运！我相信，我相信我们可以在一个名为 RTFM.py 的工具中轻松搜索到这些命令，这是 @leostat 基于 RTFM 书籍(很棒的资源)创建的一个快速查询的 Python 脚本，其中包含大量这些方便的命令。

• 更新并运行 RTFM
  • cd /opt/rtfm
  • chmod +x rtfm.py
  • ./rtfm.py -u
  • ./rtfm.py -c ‘rtfm’
• 搜索所有标签
  • ./rtfm.py -Dt
• 查看每个标记的所有查询/命令。我喜欢用的一个是枚举类
  • ./rtfm.py -t enumeration | more

现在，RTFM 非常广泛，有许多不同的有用命令。这是一个不断快速更新的优秀的资源。

这些都是我们为了获取信息而一直在做的事情，但是如果我们能从环境中获得更多呢？使用 PowerShell，我们可以获得所需的网络和环境信息。任何支持 C2 的工具都能轻松执行 PowerShell ，因此可以使用 Empire、Metasploit 或 Cobalt Strike 来执行这些操作。在下面的例子中，我们将使用 Empire ，你也可以尝试其他工具。